《第九章 椭圆曲线.pptVIP

9.0 简介 1985年N.Koblitz及V.S.Miller分別提出 用于加密、数字签名、密钥交换、大数分解、之树判断等 相同安全强度下，密钥比其他公钥系统（如RSA）小，且快 9.1 射影几何——齐次坐标 射影平面坐标系 笛卡儿平面直角坐标系的扩展 问题：如何表示无穷远点？ 引入参数，区分无穷远点和平常点 9.1 射影几何——齐次坐标 欧氏坐标 表示一个点P=(x,y)T 表示一条直线l :ax+by+c=0 l=(a,b,c)T 引入t axz+byz+cz=0 齐次坐标：P=(xz,yz,z) T ； l=(a,b,c)T 注意： P=sP l=sl 9.1 射影几何——齐次坐标 齐次坐标表示无穷远点 平行直线方程：aX+bY+c1Z =0； aX+bY+c2Z=0 有c2Z= c1Z= -（aX+bY），∵c1≠c2 ∴Z=0? 所以无穷远点：? （X：Y：0） 9.2 椭圆曲线定义 射影平面坐标系下建立 一条椭圆曲线是在射影平面上满足方程 的所有点的集合，且曲线上的每个点都是非奇异（或光滑）的。 9.2 椭圆曲线定义 注意： 椭圆曲线的形状，并不是椭圆的 9.2 椭圆曲线定义 注意： 所谓“非奇异”或“光滑”的，在数学中是指曲线上任意一点的偏导数Fx(x,y,z)，Fy(x,y,z)，Fz(x,y,z)不能同时为0 可以这样理解这个词，即满足方程的任意一点都存在切线。 右边不是椭圆曲线 9.2 椭圆曲线定义 注意： 椭圆曲线并不一定关于x轴对称 9.2 椭圆曲线定义 注意 椭圆曲线上有无穷远点O∞ 可以把椭圆曲线放到普通平面直角坐标系 这条光滑曲线加上一个无穷远点O∞，组成了椭圆曲线 威尔斯特拉斯（weierstrass）方程 9.3 椭圆曲线的加法原理 运算法则：任意取椭圆曲线E上两点P、Q （若P、Q两点重合，则做P点的切线）做直线交于椭圆曲线的另一点R’，过R’做y轴的平行线交于R。我们规定P+Q=R 9.3 椭圆曲线的加法原理 （E,+）构成交换群 封闭 单位元：P+e=P e=O∞，即零元 逆元：P+(-P)=e 交换律：P+Q=Q+P 结合律：P+Q+T=P+(Q+T) 如果椭圆曲线上的三个点A、B、C，处于同一条直线上，那么他们的和等于零元，即A+B+C= O∞ 9.3 椭圆曲线的加法原理 定理9-1 P(x1,y1)，Q(x2,y2)，R=P+Q的坐标？ （1）先求点-R(x3,y3) 因为P,Q,-R三点共线，故设共线方程为y=kx+b,其中 若P≠Q(P,Q两点不重合) 则直线斜率k=(y1-y2)/(x1-x2) 若P=Q(P,Q两点重合) 则直线为椭圆曲线的切线 ， k=(3x2+2a2x+a4-a1y) /(2y+a1x+a3) 因为：(kx+b)2+a1x(kx+b)+a3(kx+b) =x3+a2x2+a4x+a6?? 当三次项系数为1时；-x1x2x3 等于常数项系数， x1x2+x2x3 +x3x1等于一次项系数，-(x1+x2+x3)等于二次项系数。 所以x3=k2+ka1+a2+x1+x2;y3=y1-k(x1-x3); 9.3 椭圆曲线的加法原理 定理9-1 P(x1,y1)，Q(x2,y2)，R=P+Q的坐标？ （2）利用-R求R 显然有 x4=x3= k2+ka1+a2+x1+x2 y3 y4 为 x=x4 的解 故y4=-y3-(a1x+a3)=k(x1-x4)-y1-(a1x4+a3); 9.4 密码学中的椭圆曲线 把椭圆曲线定义在有限域上：离散 并不是所有的椭圆曲线都适合加密 9.4 密码学中的椭圆曲线 Fp上的椭圆曲线的加法 1.无穷远点O∞是零元，有O∞+ O∞=O∞，O∞+P=P 2.P(x,y)的负元是 (x,-y)，有P+(-P)= O∞ 3.P(x1,y1),Q(x2,y2)的和R(x3,y3) 有如下关系　　x3≡k2-x1-x2(mod p) 　　y3≡k(x1-x3)-y1(mod p)其中若P=Q 则 k=(3x2+a)/2y1? 若P≠Q，则k=(y2-y1)/(x2-x1) 9.4 密码学中的椭圆曲线 椭圆曲线上简单的加密/解密 K=kG? [其中 K,G为Ep(a,b)上的点，k为小于n（n是点G的阶）的整数] 给定k和G，根据加法法则，计算K很容易；但给定K和G，求k就相对困难了。　　 这就是椭圆曲线加密算法采用的难题。 把点G称为基点（base point） k（kn，n为基点G的阶）为私钥；K称为公钥。 9.4 密码学中的椭圆曲线 下面是一个利用椭圆曲线进行加密通信的过程： 1、用户